一种用于网络安全的智能检测预警系统及其方法与流程

1.本发明涉及网络安全检测预警技术领域，具体是一种用于网络安全的智能检测预警系统及其方法。


背景技术：

2.互联网的发展，在大大拓展信息资源共享空间和时间，提高其利用率的同时，也给信息资源的安全带来了前所未有的挑战。各种计算机病毒和黑客攻击层出不穷。他们利用计算机系统和通信协议中的设计漏洞，盗取用户口令、非法访问计算机中的信息资源、窃取机密信息、破坏计算机系统。
3.然而，针对网络系统安全的检测预警只停留在对单个攻击事件可能给系统造成威胁的评估上，不能切实提供全方位的网络节点安全预警信息，不能为网络安全预警系统的提供帮助，如何从海量的攻击数据流中分辨出有用攻击数据流和无用攻击数据流，使网络安全预警系统对系统的安全威胁状况有更加准确的了解，以便调整系统的安全策略，从而更好地提高网络系统的安全性能是我们亟需解决的问题。


技术实现要素：

4.为了解决上述技术问题，本发明的目的在于提供一种用于网络安全的智能检测预警系统，包括监控中心，所述监控中心通信连接有数据监测模块、数据存储模块、特征识别模块、数据处理模块、数据分析模块和安全预警模块；
5.所述数据监测模块用于监测网络节点的数据信息；设置监测周期并记录监测时间；所述数据信息包括各网络节点的数据流和网络带宽占用率；
6.所述数据存储模块包含实时数据库和历史数据库，用于根据数据信息监测时间的不同对数据信息进行分开存储；
7.所述特征识别模块用于生成数据流的特征参数集，并根据特征参数集判断数据流是否为攻击数据流；
8.所述数据处理模块用于根据数据流特征参数集动态生成攻击数据流的威胁指数，并根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；
9.所述数据分析模块用于根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略；
10.所述安全预警模块用于对安全预警节点进行持续监测或防御升级。
11.进一步的，所述特征识别模块获得数据流的特征参数集，并判断数据流是否为攻击数据流的过程包括：
12.设置特征参数计算模型，利用特征参数计算模型获得数据流的特征参数集，所述特征参数集包括数据流的访问时间戳和访问次数；根据数据流的访问时间戳和访问次数生成当前监测周期数据流的访问量，并建立基于访问量的实时访问量趋势曲线；同时获取历
史数据库中若干个监测周期内的数据流的特征参数集，根据数据流历史数据库中的访问时间戳和访问次数生成数据流的标准访问量，并建立关于标准访问量的多维线性回归模型；并根据多维线性回归模型预测的标准访问量建立随监测时间变化的标准访问量趋势曲线；设置控幅阈值，将实时访问量趋势曲线与标准访问量趋势曲线进行叠合比较，获取实时访问量趋势曲线与标准访问量趋势曲线的访问量差值均值的绝对值；若访问量差值均值的绝对值小于等于控幅阈值，则将该数据流标记为正常数据流；若访问量差值均值的绝对值大于控幅阈值，则将该数据流标记为攻击数据流。
13.进一步的，所述数据处理模块根据数据流特征参数集动态生成攻击数据流的威胁指数的过程包括：
14.根据历史数据库中攻击数据流的访问时间戳和访问次数生成历史访问频率，并获取攻击数据流上一次访问时间戳距离当前访问时间的时长，更新攻击数据流的访问时间戳，根据更新后的访问时间戳和访问次数生成衰减操作后的访问频率；
15.根据当前监测周期的访问量和历史访问频率获取访问次数的增长概率系数，根据衰减操作后的访问频率和访问次数的增长概率系数生成增加操作后的访问频率；
16.根据增加操作后的访问频率生成攻击数据流的威胁指数。
17.进一步的，所述数据处理模块根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流的过程包括：
18.获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间段的网络带宽最大占用率；若攻击数据流所在监测时间段的网络带宽占用率小于等于相同监测时间段的网络带宽最大占用率，则将该攻击数据流标记为无效攻击数据流；若攻击数据流所在监测时间段的网络带宽占用率大于相同监测时间段的网络带宽最大占用率，则将该攻击数据流标记为有效攻击数据流。
19.进一步的，所述数据处理模块降低无效攻击数据流的威胁指数的过程包括：
20.通过历史数据库获取无效攻击数据流的历史威胁指数，将历史威胁指数最大值与历史威胁指数最小值的平均值标记为威胁指数标准值，将无效攻击数据流的威胁指数与威胁指数标准值进行比较；当无效攻击数据流的威胁指数大于威胁指数标准值时，将无效攻击数据流的威胁指数降低至威胁指数标准值。
21.进一步的，所述数据处理模块为网络节点划分威胁等级的过程包括：
22.获取网络节点监测周期内不同时间段的攻击数据流的威胁指数均值，根据攻击数据流的威胁指数均值大小为网络节点划分威胁等级。
23.进一步的，所述数据分析模块根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略的过程包括：
24.获取网络节点的威胁等级和网络节点的网络带宽最大占用率，将环形双向链表中的网络节点按照其威胁等级从大到小的顺序从前往后排列，随后获得环形双向链表中威胁等级相同的网络节点集，按照网络节点的带宽最大占用率从大到小的顺序将网络节点集中的网络节点从前往后排列；所述环形双向链表中的网络节点数为固定值，当新的网络节点加入环形双向链表中时，网络节点的威胁等级最低且网络带宽最大占用率最小的网络节点将会被新的网络节点覆盖；同时将位于环形双向链表的网络节点标记为安全预警节点，并
将安全预警节点信息发送至安全预警模块。
25.进一步的，一种用于网络安全的智能检测预警系统的智能检测预警方法，该方法包括：
26.步骤s1：监测网络节点的数据信息，根据数据信息监测时间的不同对数据信息分别存储至实时数据库和历史数据库；利用数据流特征参数历史数据库中数据流的历史特征参数集获得实时访问量趋势曲线与标准访问量趋势曲线，将两者进行叠合比较，获得攻击数据流；
27.步骤s2：获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间段的网络带宽最大占用率；将攻击数据流所在监测时间段的网络带宽占用率与相同监测时间段的网络带宽最大占用率进行比较，将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；
28.步骤s3：对网络节点进行环形双向链表动态排序；将环形双向链表中的网络节点按照其威胁等级从大到小的顺序从前往后排列，随后获得环形双向链表中威胁等级相同的网络节点集，按照网络节点的带宽最大占用率从大到小的顺序将网络节点集中的网络节点从前往后排列；所述环形双向链表中的网络节点数为固定值，当新的网络节点加入环形双向链表中时，网络节点的威胁等级最低且网络带宽最大占用率最小的网络节点将会被新的网络节点覆盖；同时将位于环形双向链表的网络节点标记为安全预警节点。
29.与现有技术相比，本发明的有益效果是：利用数据流特征参数历史数据库中数据流的历史特征参数集获得实时访问量趋势曲线与标准访问量趋势曲线，将两者进行叠合比较，获得攻击数据流，利用历史数据和实时数据相结合获得攻击数据流，进一步提高了辨别攻击数据流的准确性，通过将攻击数据流划分为有用攻击数据流和无用攻击数据流，使网络安全预警系统在面对海量的攻击数据时对系统的安全威胁状况有更加准确的了解，以便调整系统的安全策略，且本系统通过对网络节点进行环形双向链表动态排序，从而使系统能够实时地更新对网络服务安全威胁大的网络节点，并淘汰那些对网络服务安全威胁小的网络节点，使系统对网络节点的安全预防更加精确，从而更好地提高网络系统的安全性能。
附图说明
30.图1为本技术实施例的一种用于网络安全的智能检测预警系统的原理图。
31.图2为本技术实施例的一种用于网络安全的智能检测预警方法的原理图。
具体实施方式
32.下面结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
33.实施例一
34.如图1所示，一种用于网络安全的智能监测预警系统，包括监控中心，所述监控中心通信连接有数据监测模块、数据存储模块、特征识别模块、数据处理模块、数据分析模块和安全预警模块；
35.所述数据监测模块用于监测网络节点的数据信息；设置监测周期并记录监测时间；所述数据信息包括各网络节点的数据流和网络带宽占用率；
36.所述数据存储模块包含实时数据库和历史数据库，用于根据数据信息监测时间的不同对数据信息进行分开存储；
37.所述特征识别模块用于生成数据流的特征参数集，并根据特征参数集判断数据流是否为攻击数据流；
38.所述数据处理模块用于根据数据流特征参数集动态生成攻击数据流的威胁指数，并根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；
39.所述数据分析模块用于根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略；
40.所述安全预警模块用于对安全预警节点进行持续监测或防御升级。
41.需要进一步说明的是，在具体实施过程中，所述特征识别模块获得数据流的特征参数集，并判断数据流是否为攻击数据流的过程包括：
42.设置特征参数计算模型，利用特征参数计算模型获得数据流的特征参数集，所述特征参数集包括数据流的访问时间戳和访问次数；根据数据流的访问时间戳和访问次数生成当前监测周期数据流的访问量，并建立基于访问量的实时访问量趋势曲线；同时获取历史数据库中若干个监测周期内的数据流的特征参数集，根据数据流历史数据库中的访问时间戳和访问次数生成数据流的标准访问量，并建立关于标准访问量的多维线性回归模型；并根据多维线性回归模型预测的标准访问量建立随监测时间变化的标准访问量趋势曲线；设置控幅阈值，将实时访问量趋势曲线与标准访问量趋势曲线进行叠合比较，获取实时访问量趋势曲线与标准访问量趋势曲线的访问量差值均值的绝对值；若访问量差值均值的绝对值小于等于控幅阈值，则将该数据流标记为正常数据流；若访问量差值均值的绝对值大于控幅阈值，则将该数据流标记为攻击数据流。
43.需要进一步说明的是，在具体实施过程中，所述数据处理模块根据数据流特征参数集动态生成攻击数据流的威胁指数的过程包括：
44.根据历史数据库中攻击数据流的访问时间戳ts和访问次数ns生成历史访问频率δs，并获取攻击数据流上一次访问时间戳距离当前访问时间的时长t1，攻击数据流的访问时间戳为t，更新攻击数据流的访问时间戳为t1+t，攻击数据流当时监测周期访问次数为n，根据更新后的访问时间戳t1+t和访问次数n生成衰减操作后的访问频率δa；δa＝n/(t1+t)；
45.根据当前监测周期的访问量n和历史访问频率δs获取访问次数的增长概率系数k，根据衰减操作后的访问频率δa和访问次数的增长概率系数k生成增加操作后的访问频率δb；δb＝k*δa46.根据攻击数据流的增加操作后的访问频率δb获得攻击数据流的威胁指数q。q＝w*δb，其中w为访问频率δb的权重值；
47.需要进一步说明的是，在具体实施过程中，所述数据处理模块根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流的过程包括：
48.获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间段的网络带宽最大占用率；若攻击数据流所在监测时间段的网络带宽占用率小于等于
相同监测时间段的网络带宽最大占用率，则将该攻击数据流标记为无效攻击数据流；若攻击数据流所在监测时间段的网络带宽占用率大于相同监测时间段的网络带宽最大占用率，则将该攻击数据流标记为有效攻击数据流；
49.需要进一步说明的是，在具体实施过程中，所述数据处理模块降低无效攻击数据流的威胁指数的过程包括：
50.通过历史数据库获取无效攻击数据流的历史威胁指数，将历史威胁指数最大值与历史威胁指数最小值的平均值标记为威胁指数标准值，将无效攻击数据流的威胁指数与威胁指数标准值进行比较；当无效攻击数据流的威胁指数大于威胁指数标准值时，将无效攻击数据流的威胁指数降低至威胁指数标准值。
51.需要进一步说明的是，在具体实施过程中，所述数据处理模块为网络节点划分威胁等级的过程包括：
52.获取网络节点监测周期内不同时间段的攻击数据流的威胁指数均值，根据攻击数据流的威胁指数均值大小为网络节点划分威胁等级。
53.需要进一步说明的是，在具体实施过程中，所述数据分析模块根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略的过程包括：
54.获取网络节点的威胁等级和网络节点的网络带宽最大占用率，将环形双向链表中的网络节点按照其威胁等级从大到小的顺序从前往后排列，随后获得环形双向链表中威胁等级相同的网络节点集，按照网络节点的带宽最大占用率从大到小的顺序将网络节点集中的网络节点从前往后排列；所述环形双向链表中的网络节点数为固定值，当新的网络节点加入环形双向链表中时，网络节点的威胁等级最低且网络带宽最大占用率最小的网络节点将会被新的网络节点覆盖；同时将位于环形双向链表的网络节点标记为安全预警节点，并将安全预警节点信息发送至安全预警模块。
55.所述安全预警模块根据安全预警节点信息对安全预警节点进行持续监测或防御升级。
56.实施例二
57.如图2所示，一种用于网络安全的智能检测预警系统的智能检测预警方法，该方法包括：
58.步骤s1：监测网络节点的数据信息，根据数据信息监测时间的不同对数据信息分别存储至实时数据库和历史数据库；利用数据流特征参数历史数据库中数据流的历史特征参数集获得实时访问量趋势曲线与标准访问量趋势曲线，将两者进行叠合比较，获得攻击数据流；
59.步骤s2：获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间段的网络带宽最大占用率；将攻击数据流所在监测时间段的网络带宽占用率与相同监测时间段的网络带宽最大占用率进行比较，将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；
60.步骤s3：对网络节点进行环形双向链表动态排序；将环形双向链表中的网络节点按照其威胁等级从大到小的顺序从前往后排列，随后获得环形双向链表中威胁等级相同的网络节点集，按照网络节点的带宽最大占用率从大到小的顺序将网络节点集中的网络节点
从前往后排列；所述环形双向链表中的网络节点数为固定值，当新的网络节点加入环形双向链表中时，网络节点的威胁等级最低且网络带宽最大占用率最小的网络节点将会被新的网络节点覆盖；同时将位于环形双向链表的网络节点标记为安全预警节点。
61.以上实施例仅用以说明本发明的技术方法而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方法进行修改或等同替换，而不脱离本发明技术方法的精神和范围。

技术特征：
1.一种用于网络安全的智能检测预警系统，包括监控中心，其特征在于，所述监控中心通信连接有数据监测模块、数据存储模块、特征识别模块、数据处理模块、数据分析模块和安全预警模块；所述数据监测模块用于监测网络节点的数据信息；设置监测周期并记录监测时间；所述数据信息包括各网络节点的数据流和网络带宽占用率；所述数据存储模块包含实时数据库和历史数据库，用于根据数据信息监测时间的不同对数据信息进行分开存储；所述特征识别模块用于生成数据流的特征参数集，并根据特征参数集判断数据流是否为攻击数据流；所述数据处理模块用于根据数据流特征参数集动态生成攻击数据流的威胁指数，并根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；所述数据分析模块用于根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略；所述安全预警模块用于对安全预警节点进行持续监测或防御升级。2.根据权利要求1所述的一种用于网络安全的智能检测预警系统，其特征在于，所述特征识别模块获得数据流的特征参数集，并判断数据流是否为攻击数据流的过程包括：设置特征参数计算模型，利用特征参数计算模型获得数据流的特征参数集，所述特征参数集包括数据流的访问时间戳和访问次数；根据数据流的访问时间戳和访问次数生成当前监测周期数据流的访问量，并建立基于访问量的实时访问量趋势曲线；同时获取历史数据库中若干个监测周期内的数据流的特征参数集，根据数据流历史数据库中的访问时间戳和访问次数生成数据流的标准访问量，并建立关于标准访问量的多维线性回归模型；并根据多维线性回归模型预测的标准访问量建立随监测时间变化的标准访问量趋势曲线；设置控幅阈值，将实时访问量趋势曲线与标准访问量趋势曲线进行叠合比较，获取实时访问量趋势曲线与标准访问量趋势曲线的访问量差值均值的绝对值；若访问量差值均值的绝对值小于等于控幅阈值，则将该数据流标记为正常数据流；若访问量差值均值的绝对值大于控幅阈值，则将该数据流标记为攻击数据流。3.根据权利要求2所述的一种用于网络安全的智能检测预警系统，其特征在于，所述数据处理模块根据数据流特征参数集动态生成攻击数据流的威胁指数的过程包括：根据历史数据库中攻击数据流的访问时间戳和访问次数生成历史访问频率，并获取攻击数据流上一次访问时间戳距离当前访问时间的时长，更新攻击数据流的访问时间戳，根据更新后的访问时间戳和访问次数生成衰减操作后的访问频率；根据当前监测周期的访问量和历史访问频率获取访问次数的增长概率系数，根据衰减操作后的访问频率和访问次数的增长概率系数生成增加操作后的访问频率；根据增加操作后的访问频率生成攻击数据流的威胁指数。4.根据权利要求3所述的一种用于网络安全的智能检测预警系统，其特征在于，所述数据处理模块根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流的过程包括：获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间
段的网络带宽最大占用率；若攻击数据流所在监测时间段的网络带宽占用率小于等于相同监测时间段的网络带宽最大占用率，则将该攻击数据流标记为无效攻击数据流；若攻击数据流所在监测时间段的网络带宽占用率大于相同监测时间段的网络带宽最大占用率，则将该攻击数据流标记为有效攻击数据流。5.根据权利要求4所述的一种用于网络安全的智能检测预警系统，其特征在于，所述数据处理模块降低无效攻击数据流的威胁指数的过程包括：通过历史数据库获取无效攻击数据流的历史威胁指数，将历史威胁指数最大值与历史威胁指数最小值的平均值标记为威胁指数标准值，将无效攻击数据流的威胁指数与威胁指数标准值进行比较；当无效攻击数据流的威胁指数大于威胁指数标准值时，将无效攻击数据流的威胁指数降低至威胁指数标准值。6.根据权利要求5所述的一种用于网络安全的智能检测预警系统，其特征在于，所述数据处理模块为网络节点划分威胁等级的过程包括：获取网络节点监测周期内不同时间段的攻击数据流的威胁指数均值，根据攻击数据流的威胁指数均值大小为网络节点划分威胁等级。7.根据权利要求6所述的一种用于网络安全的智能检测预警系统，其特征在于，所述数据分析模块根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略的过程包括：获取网络节点的威胁等级和网络节点的网络带宽最大占用率，将环形双向链表中的网络节点按照其威胁等级从大到小的顺序从前往后排列，随后获得环形双向链表中威胁等级相同的网络节点集，按照网络节点的带宽最大占用率从大到小的顺序将网络节点集中的网络节点从前往后排列；所述环形双向链表中的网络节点数为固定值，当新的网络节点加入环形双向链表中时，网络节点的威胁等级最低且网络带宽最大占用率最小的网络节点将会被新的网络节点覆盖；同时将位于环形双向链表的网络节点标记为安全预警节点，并将安全预警节点信息发送至安全预警模块。8.根据权利要求1所述的一种用于网络安全的智能检测预警系统的智能检测预警方法，其特征在于，该方法包括：步骤s1：监测网络节点的数据信息，根据数据信息监测时间的不同对数据信息分别存储至实时数据库和历史数据库；利用数据流特征参数历史数据库中数据流的历史特征参数集获得实时访问量趋势曲线与标准访问量趋势曲线，将两者进行叠合比较，获得攻击数据流；步骤s2：获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间段的网络带宽最大占用率；将攻击数据流所在监测时间段的网络带宽占用率与相同监测时间段的网络带宽最大占用率进行比较，将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；步骤s3：对网络节点进行环形双向链表动态排序；将环形双向链表中的网络节点按照其威胁等级从大到小的顺序从前往后排列，随后获得环形双向链表中威胁等级相同的网络节点集，按照网络节点的带宽最大占用率从大到小的顺序将网络节点集中的网络节点从前往后排列；所述环形双向链表中的网络节点数为固定值，当新的网络节点加入环形双向链表中时，网络节点的威胁等级最低且网络带宽最大占用率最小的网络节点将会被新的网络
节点覆盖；同时将位于环形双向链表的网络节点标记为安全预警节点。

技术总结
本发明公开了一种用于网络安全的智能检测预警系统和方法，涉及网络安全检测预警技术领域，包括监控中心，所述监控中心通信连接有数据监测模块、数据存储模块、特征识别模块、数据处理模块、数据分析模块和安全预警模块；数据监测模块监测网络节点的数据信息；特征识别模块判断数据流是否为攻击数据流；数据处理模块根据数据流特征参数集动态生成攻击数据流的威胁指数，数据分析模块用于根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略，从而在面对海量的攻击数据时对系统的安全威胁状况有更加准确的了解。解。解。


技术研发人员：魏书山 陈志峰 曹伟祺
受保护的技术使用者：广东网安科技有限公司
技术研发日：2023.07.06
技术公布日：2023/9/9